Сертификаты подписывания отклика OCSP (Online Certificate Status Protocol) должны быть подписаны тем же ключом центра сертификации (ЦС), которым были подписаны сертификаты объектов, для предоставления состояния которых они используются.

После обновления ключа ЦС для подписывания вновь выдаваемых сертификатов будет использоваться новый ключ. В период между временем обновления сертификата и датой окончания срока действия исходного сертификата ЦС не может выдавать или обновлять сертификаты подписывания отклика OCSP, что может препятствовать подписанию откликов OCSP сетевым ответчиком.

Для решения этой проблемы в центрах сертификации на базе Windows Server 2008 и Windows Server 2008 R2 можно изменить режим по умолчанию и разрешить выдачу сертификатов подписывания отклика протокола OCSP с использованием обновленного ключа ЦС.

Для выполнения этой процедуры необходимы права администратора на сервере ЦС. Дополнительные сведения об администрировании инфраструктуры открытого ключа (PKI) см. в разделе Реализация ролевого администрирования.

Чтобы разрешить обновление сертификатов подписывания отклика протокола OCSP с использованием существующих ключей ЦС
  1. На компьютере ЦС откройте окно командной строки и введите:

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. Нажмите клавишу ВВОД.

  3. Перезапустите службу центра сертификации.

Дополнительные ссылки